5. osa: Ledger Recoveri loomine – operatsiooniline turvalisus | Pearaamat

Siiani oleme 1. ja 2. osas näidanud, kuidas Ledger taastub jagab teie seemne aktsiateks ja saadab need aktsiad turvaliselt et sõbrad usaldusväärsed varunduspakkujad. 3. osas oleme näidanud, kuidas see salvestab (ja taastab) turvaliselt teie seemne aktsiaid, mis on kaitstud riistvaralise krüptimisega, seotud teie identiteediga ja mitmekesine. Neljandas osas oleme uurinud, kuidas Ledger Recover suudab andke juurdepääs oma varukoopiale ainult teile ja teile.

Nüüd on aeg vaadata lähemalt, kuidas tagame maksimaalse turvalisuse operatiivtasandil. Lühidalt, töökindlus saavutatakse järgmiselt:

• Ledger Recoveri aluseks oleva infrastruktuuri tugevdamine,
• Ledger Recoveri erinevate operaatorite tööülesannete lahususe rakendamine,
• Kriitiliste komponentide ja toimingute jälgimine,
• Taastamisspetsiifilise intsidentidele reageerimise rakendamine.

Sukeldume üksikasjalikumalt, mida need üksused tähendavad.

Infrastruktuuri karastamine

Infrastruktuuri kõvenemine on mitmel kujul. See on 360° harjutus, mis hõlmab laias valikus tegevusi, mida juhib põhjalik turvariskide analüüs. Tavaliselt algab see rünnete stsenaariumide kataloogi haldamisest, mis võivad põhjustada turvaprobleeme (nt andmelekked, klientidena esinemine, mis viib aktsiate volitamata taastamiseni, mittereageerivad süsteemid ja teenuse katkemine). Nende probleemide ennetamine operatiivtasandil on korraldatud selliste tegevuste ümber nagu ressursside eraldamine, süsteemi juurdepääsu reguleerimine, võrguliikluse juhtimine, haavatavuse haldamine ja palju muud.

Siin on ülevaade meie peamistest meetmetest Ledger Recoveri infrastruktuuri tugevdamiseks:

Teenuse kättesaadavus

Taristu on kujundatud nii, et oleks olemas puudub üks tõrkepunkt (NSPOF), mis tähendab, et süsteem on vastupidav mis tahes komponendi rikke suhtes. Võtame järgmise näite: meie andmekeskusi teenindavad kaks sõltumatut Interneti-teenuse pakkujat (ISP) hoone kahes vastasotsas. Kui kiud on hoone ühes osas käimasolevate ehitustööde tõttu kahjustatud, suunatakse andmed lihtsalt läbi teise Interneti-teenuse pakkuja. Häirevaba hooldus on veel üks eelis, mis suurendab kättesaadavust. Arvestades, et Ledger Recoveri kõigist tarkvarakomponentidest on vähemalt kaks eksemplari, saame süsteemi ümber konfigureerida nii, et eksemplari B asendamisel/täiendamisel/parandamisel kasutataks ainult eksemplari A.

Piiratud administraatori juurdepääs Ledger Recoveri rakendustele

Ainult a vähendatud kasutajate hulgale antakse administraatori juurdepääs ressurssidele, mis on pühendatud Ledger Recoverile. Mida lühem on kasutajate loend, seda rohkem saame vähendada riski, et siseringi ohud saavad administraatorijuurdepääsu.

Turvalised füüsilised andmekeskused

Varunduspakkujate HSM-id majutatakse geograafiliselt üleliigne füüsilised andmekeskused, mis on kaitstud füüsiliste ja virtuaalsete ohtude eest tööstustasemel turvatehnikad ja -protseduurid. Füüsilise kaitse tase tagab, et ükski volitamata isik ei saa HSM-iga juhuslikult minema kõndida. Mitme saidi andmekeskustele tuginemine tähendab, et kui ühes asukohas tekib probleem, võib teine ​​asukoht üle võtta, pakkudes teenuse katkematu kättesaadavus. Viimaseks, kuid mitte vähem tähtsaks, annab meile omaenda HSM-ide haldamine kontrollida, kellel on juurdepääs neile ja milline kood on juurutatud neile.

Pearaamatu taastamise ressursside eraldamine

Kõik Ledger Recoveri ressursid on Ledger Recoveri teenusepakkujate, sealhulgas Coincoveri ja Ledgeri ressurssidest isoleeritud. See isolatsioon on vajalik tagamaks, et suudame hoida ära võimalikud rünnakud ühest võrgulõigust, mille eesmärk on kasutada ära teiste võrgulõikude ressursse.

Kooditaseme turvalisus tagatud mitme samba kaudu

• Me kasutame koodiskannerid et aidata meil haavatavused varakult tuvastada ja nendega tegeleda, takistades neil tootmisse jõudmist.
• kood is -Läbi ja heaks kiidetud by sõltumatu meeskond Ledger Recoveri arendajast. See eraldamine on veel üks meede, mis aitab parandada üldist koodi kvaliteeti, tuvastades loogikavead, mis võivad põhjustada turvaprobleeme.
• Programmi kood kriitilised moodulid of Ledger Recover on allkirjastatud krüptograafilise allkirjaga. Signatuur genereeritakse osaliselt koodi sisu põhjal, mis hoiab ära võltsitud koodi juurutamise, võrreldes signatuuri selle eeldatava väärtusega. See turvakontroll tehakse enne koodi käivitamist.

Võrguliikluse juhtimine

Võrguliiklust kontrollitakse rangelt poliitikatega, mis määratlevad liiklusvoogude reeglid kõigi kolme varundusteenuse pakkuja jaoks. Kõrval reeglite määratlemine lubatud ja keelatud liikluse jaoks, piirame ründepinda ja vähendame volitamata juurdepääsu ohtu. Samuti tagab üksikute teenuste vahelise suhtluse piiramine, et ründaja külgsuunaline liikumine on piiratud, isegi kui üks komponent on kahjustatud. Lisaks rakendame vastastikust TLS-i (mTLS) autentimist, et vältida Man-in-the-Middle (MiM) rünnakuid. Tõendades mõlema poole identiteeti sertifikaatidega, tagab vastastikune TLS selle turvalise ühenduse saavad luua ainult usaldusväärsed üksused.

Võtme pöörlemine

Krüpteerimine võtmed (kasutatakse näiteks andmete või side krüpteerimiseks) on regulaarselt vahetatud kooskõlas krüptograafia parimate tavadega. Selle eeliseks on see, et kui võti satub ohtu, siis kahju on piiratud pöörete vahelisele ajale ja vana võtmega krüpteeritud andmetele.

Väljuva liikluse turvalisus

Väljaminev liiklus on piiratud ainult teadaolevate domeenide ja IP-aadressidega (varunduspakkujad, teenusepakkujad). Väljuva liikluse piiramine ja jälgimine on viis olge valvel võimalike andmelekkete suhtes. Kui väljaminevate andmevoogude maht on oodatust suurem, võib pahatahtlik toimija hankida Ledger Recoveri süsteemist olulisel määral tundlikke andmeid. 

Sissetuleva liikluse turvalisus

Sissetulevat liiklust kaitseb DDoS-i vastane, WAF-i (Web Application Filtering) ja IP-filtreerimistehnikate kombinatsioon. Hajutatud teenuse keelamise (DDoS) rünnakud tekitavad kahju, täites nende sihtsüsteemi päringutega. Sissetulevate päringute arvu piiramine on tuntud meede selliste rünnakute vastu. Nüüd ei ole kõik rünnakud seotud kvantiteediga, mõned neist on seotud kvaliteediga. Siin tuleb mängu WAF. WAF vaatab sissetulevaid taotlusi ja kontrollib nende kavandatud käitumist: kui päringu eesmärk on saada volitamata juurdepääs või andmetega manipuleerida, blokeerib filter päringu. Lõpuks kasutab IP-filtreerimine topelttehnikat a) lubatud loendisse lisaminest lubades liiklust ainult kindlatelt IP-aadressidelt või vahemikud ja b) musta nimekirjast blokeerimine liiklus tuntud ründaja IP-dest.       

Haavatavuse juhtimine

Ledger Recoveri infrastruktuuri komponendid on pidevalt ja süstemaatiliselt skannitud teadaolevate haavatavuste ja valesti seadistamise eest, ja plaastreid/värskendusi rakendatakse regulaarselt. See aitab reageerida uut tüüpi ohtudele nende ilmnemisel ning hoiab turvameetmed ajakohasena ja maailmatasemel.

Tööülesannete lahusus

Tööülesannete lahusus on Ledger Recoveri turvastrateegia keskmes. 

Tööülesannete lahusus erinevate vahel Varunduse pakkujad (3. osa) ja IDV pakkujas (4. osa) on eelmistes postitustes kirjeldatud. Võib-olla mäletate, et on olemas:

• 3 salajase taastamise fraasi jagamist, mida haldavad 3 sõltumatut varunduspakkujat (koos andmebaasi mitmekesistamisega, et vältida kokkumängu)
• 2 sõltumatut identiteedivalidaatorit (IDV pakkujad)

Infrastruktuuri tasandil tööülesannete lahusus rakendatakse Ledger Recoveri arendamise ja toimimisega seotud erinevate rollide vahel.

Lisaks ühendame tööülesannete lahususe "väikseima privileeg" põhimõte. Väikseim privileeg on põhimõte, mida kohaldatakse süsteemihaldurite ja administraatorite suhtes: neile antakse õigus teha ainult seda, mida nad peavad tegematagades, et neile antakse nende ülesannete täitmiseks nõutav madalaim luba. 

Nii et kui "väikseim privileeg" on kombineeritud "ülesannete lahususega", erinevatele inimestele on määratud erinevad administraatorirollid nii et ükski inimene ei saaks kahjustada/kahjustada ühegi süsteemikomponendi konfidentsiaalsust või terviklikkust. Näiteks Ledger Recoveri koodi arendajatel puudub juurdepääs süsteemile, mis töötab nende kirjutatud koodi.

Juhtimine: Kvoorumid

Sarnaselt Blockchainsi konsensusmehhanismidele, mis tagavad terviklikkuse ja turvalisuse, lastes plokke kinnitada mitmel osalejal, oleme Ledger Recoveri süsteemis kasutusele võtnud kvoorumi, et suurendada meie tööturvalisust.

Vaatamata meie töötajate põhjalikule taustakontrollile, on tõsiasi, et inimesed võivad olla iga süsteemi nõrk lüli ja krüptosfäär pole erand. Kõrgetasemelised turvaintsidendid, näiteks Mt. Goxi häkkimine 2014. aastaldemonstreerida, kuidas üksikisikuid saab ära kasutada või viia turvatõrkeni. Inimesi saab mõjutada või sundida erinevate motivatsioonide – raha, ideoloogia, sunni, ego (teise nimega MICE(S)) – kaudu, mis muudab isegi kõige rangemad taustakontrollid mitte täiesti lollikindelaks.

Selliste riskide maandamiseks kasutame kvoorumi kontseptsioonil põhinevat süsteemi. See raamistik nõuab enne oluliste otsuste või kriitiliste toimingute tegemist vähemalt kolme volitatud isiku konsensust varupakkujate erinevatest meeskondadest või osakondadest. 

Meie erinevates kvoorumites osalevate isikute täpne arv jääb turvalisuse huvides avaldamata. Sellegipoolest suurendab selle olemasolu märkimisväärselt meie töökindlust, vähendades iga üksiku ohustatud isiku võimalikku mõju.

Siin on mõned tegevused, mille puhul kasutame kvoorumeid:

1. Ledger Recoveri HSM-ide privaatvõtmete genereerimine: seda kriitilist toimingut kaitsevad iga üksuse – Coincover, EscrowTech ja Ledger – sõltumatud kvoorumid. Nende erinevate kvoorumite iga liige peab olema kohal, et luua oma vastavates HSM-ides privaatvõtmeid. Igal kvoorumi liikmel on juurdepääs varuvõtmele, mis on vajalik nende HSM-i saladuste taastamiseks ja taastamiseks. See struktuur mitte ainult ei kaitse riski eest, et isik võib lubamatult mõjutada ühte kolmest varunduspakkuja HSM-ist, vaid suurendab ka üldist süsteemi terviklikkust, kuna iga kvoorum toimib iseseisvalt ega ole üksteise eripäradest teadlik.

2. Kliendiosa erakorralise vabastamise otsustamine: konkreetsed, ehkki harvad olukorrad võivad nõuda kliendi osa erakorralist vabastamist. Need võivad olla tingitud identiteedi kinnitamise tõrgetest (nimemuutus, füüsiline moonutamine jne) või sellest, et meie avalikustamata turvameetmed lisavad seadme valesti musta nimekirja. Kui selline olukord tekib, koguneb kvoorum, mis koosneb mitmest varupakkujate isikust. See laialdast konsensust eeldav protseduur tagab, et otsuseid ei tehta kiirustades või ühepoolselt, suurendades seeläbi klientide turvalisust. Iga kvoorumi liige kasutab vabastamise heakskiitmiseks oma Ledger Nano seadet (oma PIN-koodiga), lisades sellega veel ühe turvakihi võimaliku kokkumängu või üksikute vigade vastu.

3. HSM-i püsivara koodi värskenduse allkirjastamine: Enne uue püsivara värskenduse juurutamist HSM-idele viib meie tooteturbe meeskond Ledger Donjon läbi põhjaliku ülevaatuse. Püsivara kvoorumi osana tagab Ledger Donjon, et pahatahtlik sisering või rikutud arendustoru ei ole tarneahela rünnaku kaudu sisse toonud tagauksi ega pahatahtlikku koodi. Nii säilitavad nad püsivara värskenduse terviklikkuse ja turvalisuse.

4. Pearaamatu allkirjastamise seadmete (nano ja Stax) püsivara koodi värskendus: Sarnaselt HSM-ide püsivarale läbivad meie Ledgeri seadme püsivara värskendused range ülevaatuse ja nõuavad kvoorumi heakskiitu, enne kui neid Ledger Live'i kaudu meie kasutajatele pakutakse.

Kokkuvõttes on kvoorumid Ledger Recoveri turbearhitektuuri lahutamatu osa. Nad mängivad olulist rolli kaitse tugevdamisel sisemiste petturite ohtude ja kokkumängu vastu elutähtsate operatsioonide ajal. Kasutades Ledgeri seadmete ja teenuste tipptasemel turvalisust, aitavad kvoorumid tagada usalduse ja kaitsta kasutajate digitaalseid varasid pahatahtlike siseringide eest.

Kriitiliste komponentide ja toimingute jälgimine

Sellesse peatükki süvenedes on oluline märkida, et turvakaalutlustel avaldame ainult osa Ledger Recoveri teenuse ulatuslikest jälgimistoimingutest. Kuigi jääme oma kohustuse juurde läbipaistvusele, tunnistame ka seda, kui oluline on säilitada diskreetsus sisekontrolli üksikasjade ja tegevusturvalisuse järelevalve osas.

Ledgeris on turvalisus meie prioriteet. See on meie lahenduste keskmes, mis on üles ehitatud tugevatele krüptoprotokollidele, nagu on kirjeldatud meie artiklis Ledger Recoveri valge paber. Kuid meie töö jätkub ka väljaspool turvaliste süsteemide loomist. Jälgime ja hindame oma tegevust pidevalt, otsides kahtlaseid tegevusi. See pidev valvsus tugevdab meie turvalisust, tagades, et oleme alati valmis reageerima. 

Uurime mõnda näidet meie mitmekihilisest lähenemisviisist:

Administraatori tegevuste jälgimine: Kehtestame oma administraatoritele range juurdepääsukontrolli. Me mitte ainult ei nõua 2FA-d (kahefaktoriline autentimine) kõigi meie infrastruktuuri haldusühenduste jaoks, vaid nõuame ka mitme inimese valideerimist administraatori infrastruktuurile juurdepääsuks süsteemi kriitilistes osades. Lisaks logivad meie süsteemid hoolikalt kõiki haldustoiminguid ja jälgivad neid. Nendele logidele tehakse automaatselt ristviide meie sisemiste piletisüsteemidega, et tuvastada planeerimata toimingud. See ettevaatlik korrelatsioon võimaldab meil oma turvameeskondi viivitamatult teavitada mis tahes ebatavalisest või kahtlasest käitumisest, tugevdades meie tööturvalisust.

Varunduspakkujate ristkontroll: Läbipaistvus ja vastutus on varukoopia pakkujate Ledgeri, EscrowTechi ja Coincoveri vaheliste suhete aluseks. Oleme loonud süsteemi jälgimiseks ja turvalisuse tagamiseks kasutatavate logide reaalajas vahetamise. See võimaldab tegevuste ristkontrolli. Kui avastatakse ebakõla, lukustatakse teenus kasutajate varade kaitsmiseks kohe.

Erakorralise väljalasketegevuse järelevalve: Haruldasi käsitsi jagamise väljalaske juhtumeid kontrollitakse hoolikalt mitme kvoorumi protsessi kaudu, nagu selgitasime eelmises jaotises. Pärast erakorralise vabastamise toimingu elluviimist jätkavad Ledger Recoveri süsteemid kõikehõlmavat jälgimist, sealhulgas osapoolte üksikasjalikku logimist ja analüüsi, tööaega ja muid olulisi üksikasju. See protsess, mis hõlmab nii mitme kvoorumi täitmist kui ka toimingujärgset jälgimist, tagab, et aktsiate erakorraline vabastamine on otsustusprotsessi kõikides etappides rangelt kontrollitud.

Turvateabe ja sündmuste haldamise (SIEM) võimendamine: SIEM-lahendus moodustab Ledger Recoveri seirestrateegia olulise osa. See spetsiaalne SIEM suurendab võimet tuvastada võimalikke turbeprobleeme ja neile reageerida reaalajas. Tänu spetsiaalsetele Ledger Recoveri teenuse jaoks välja töötatud tuvastamisreeglitele on see peenhäälestatud, et tuvastada mitmesuguseid kompromissiindikaatoreid (IoC), mis põhinevad klastri ja Ledger Recoveri rakenduste logidel. Kohandatud IoC tuvastamisel on vastus automaatne ja kohene – kogu klaster lukustatakse kuni põhjaliku analüüsi läbiviimiseni. Ledger Recoveri teenuses on konfidentsiaalsus eelistatud teenuse kättesaadavusele, et tagada kasutajate varade ülim kaitse.

Küberjulgeoleku dünaamilisel maastikul oleme strateegiaid koostanud ja valmistunud erinevateks stsenaariumideks. Meie ohumudel arvestab ebatõenäolise olukorraga, kus erinevatest varunduspakkujatest pärit infrastruktuuriadministraatorid võivad ohtu sattuda. Rangete kaitsemeetmete ja automaatsete reageeringutega on Ledger Recoveri teenuse eesmärk tagada kasutajate varade jätkuv turvalisus ka sellistes erakorralistes olukordades. Järgmises jaotises kirjeldame kõikehõlmavaid reageerimismeetmeid, mis on loodud selliste hüpoteetiliste olukordade lahendamiseks.

Pearaamatu taastamise spetsiifiline intsidentidele reageerimine

Ledger Recoveri teenusega on koostatud kolme varuteenuse pakkujaga koostöös välja töötatud intsidentidele reageerimise strateegia. Selle strateegia keskne osa on automaatsed kaitsemeetmed, mis koheselt lukustavad kogu süsteemi, kui tuvastatakse kahtlane tegevus mis tahes infrastruktuuri osas. 

Sisuliselt on Ledger Recoveri teenusesse konstrueeritud protokoll "alati turvaline, ärge kunagi kahetsege". Turvalisus on prioriteet number üks ja see on kohustus, mille osas kunagi järeleandmisi ei tehta. 

Kuigi me püüame pidevalt pakkuda sujuvat kasutuskogemust järgmisele 100 miljonile inimesele Web3-sse, ei kõhkle me kunagi neid kaitsemeetmeid aktiveerimast, kogu Ledger Recoveri teenuse tõhus lukustamine, kui ilmneb võimalik oht. Meie kaitsemissiooni raames on valik potentsiaalselt ohustatud teenuse käitamise ja ülima turvalisuse tagamise vahel selge – me valime turvalisuse.

Järeldus

Siin oleme selle sarja operatsioonilise turvalisuse osa lõpus. Selles osas oleme püüdnud vastata teie murele, mis puudutab Ledger Recoveri süsteemi turvameetmete immutamatust tagamist. Rääkisime infrastruktuurist, ülesannete lahususest, juhtimisest ja järelevalvest ning lõpuks intsidentidele reageerimise strateegiast. 

Tänan teid veel kord, et lugesite selle punktini! Nüüd peaks teil olema põhjalik arusaam Ledger Recoveri tööturvalisusest. Selle ajaveebi postituste seeria viimane osa käsitleb meie viimaseid turvaprobleeme ja täpsemalt: kuidas juhtisime oma sisemisi ja väliseid turvaauditeid, et tagada kasutajatele maksimaalne turvalisuse tase? Püsige lainel! 

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security